Oggi è evidente una certa carenza di omogeneità e convergenza per quanto riguarda il monitoraggio delle dipendenze da terzi nel settore delle TIC e dei rischi informatici derivanti da terzi. Nonostante gli sforzi per trattare l’esternalizzazione, come gli orientamenti dell’ABE in materia di esternalizzazione del 2019 e degli orientamenti dell’ESMA in materia di esternalizzazione a fornitori di servizi cloud del 2021, la questione più ampia del contrasto del rischio sistemico potenzialmente derivante dall’esposizione del settore finanziario a un ristretto numero di fornitori terzi critici di servizi TIC non è adeguatamente affrontata dal diritto dell’Unione. La carenza di norme a livello dell’Unione è aggravata dall’assenza di norme nazionali su strumenti e mandati che consentano alle autorità di vigilanza finanziaria di acquisire una valida comprensione delle dipendenze da terzi nel settore delle TIC e di monitorare adeguatamente i rischi provocati dalla concentrazione di tali dipendenze.